政府 / 事业单位过等保 2.0 是法定合规义务——依据《网络安全法》第二十一条,所有政务信息系统必须按 GB/T 22239-2019 落实等级保护制度。完整流程通常 1–3 个月,预算 3–20 万元(二级 3–8 万元、三级 8–20 万元,视系统规模与现有信息化基础)。本文给出政府场景的等保完整 6 步流程、关键标准引用、典型预算、避坑指南,让政府 IT 负责人一图看懂。
政府等保为什么必须做?
三重强制依据:
- 法律:《中华人民共和国网络安全法》第二十一条——国家实行网络安全等级保护制度,网络运营者应当履行等级保护义务
- 行政条例:《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》
- 关联法规:《关键信息基础设施安全保护条例》《数据安全法》《个人信息保护法》
- 督查:公安部、各省厅每年开展等保检查,未做或不达标的予以通报、罚款乃至业务暂停
政府等保依据的 8 项现行国标
| 标准号 | 名称 |
|---|---|
| GB 17859-1999 | 计算机信息系统 · 安全保护等级划分准则 |
| GB/T 22239-2019 | 信息安全技术 · 网络安全等级保护基本要求(等保 2.0 核心) |
| GB/T 22240-2020 | 信息安全技术 · 网络安全等级保护定级指南 |
| GB/T 25070-2019 | 信息安全技术 · 网络安全等级保护安全设计技术要求 |
| GB/T 28448-2019 | 信息安全技术 · 网络安全等级保护测评要求 |
| GB/T 28449-2018 | 信息安全技术 · 网络安全等级保护测评过程指南 |
| GB/T 36627-2018 | 信息安全技术 · 网络安全等级保护测试评估技术指南 |
| GB/T 25058-2019 | 信息安全技术 · 网络安全等级保护实施指南 |
关于这 8 项标准的详细说明,以及二级 vs 三级硬件配置完整对照清单,可参见 等保 2.0 完整科普页面。
政府系统怎么定级?
依据 GB/T 22240-2020,政府系统定级看「业务信息安全 + 系统服务安全」两个维度对国家 / 社会 / 公民的损害程度:
| 系统类型 | 建议等级 |
|---|---|
| 党政机关核心政务系统、电子政务外网核心节点 | 三级及以上 |
| 面向公众的政务服务平台(一网通办、政府门户) | 三级 |
| 涉及大量个人信息的系统(人口、社保、医保、税务) | 三级 |
| 内部办公 OA、协同平台 | 二级 |
| 专项业务子系统(小规模、低敏感) | 二级 |
| 简单门户网站、宣传站 | 一级或二级 |
政府等保完整 6 步流程(1.5–3 个月样例)
01 · 定级(第 1 周)
系统主管单位组织内部评审,编制《等级保护定级报告》,并邀请 3–5 名信息安全专家评审确定系统等级。依据 GB/T 22240-2020 定级指南,从「业务信息安全保护等级」与「系统服务安全保护等级」两个维度综合判定。
02 · 备案(第 2 周)
携定级报告、专家评审意见到属地公安网安部门做等级备案,提交备案表一 / 二 / 三 / 四等系列材料,最终获取《信息系统安全等级保护备案证明》。备案证明上的编号将出现在后续所有测评报告上。
03 · 差距分析(第 3–4 周)
对照 GB/T 22239-2019 与 GB/T 28448-2019 的控制要求做现状梳理,结合漏洞扫描、渗透测试进行全面安全探测,形成《差距分析报告》,明确技术与管理两个维度的缺失项。
04 · 安全建设整改(第 5–10 周,最大变量)
- 技术整改:补充安全产品(防火墙、IDS / IPS、WAF、堡垒机、日志审计、终端管控、数据库审计、漏洞扫描器、态势感知)
- 管理整改:制定 27+ 项安全管理制度(人员、资产、变更、应急、培训、外包等)
- 物理整改:机房环境、出入口管控、视频监控
- 人员整改:信息安全员到位(持证上岗)、应急演练
说明:多数政府单位已有较完善的信息化基础,整改本质是「补齐缺失项 + 配套制度文档化」;云上系统通常已具备基础安全设施,整改周期可大幅缩短,预算趋近于零。
05 · 等级测评(第 11–12 周)
由具备公安部认可资质(等保测评机构推荐目录,资质 II 级及以上)的第三方测评机构现场测评,依据 GB/T 22239-2019、GB/T 28448-2019、GB/T 28449-2018 进行技术与管理双线测评,最终出具盖章的《网络安全等级保护测评报告》。测评机构推荐目录可在 www.djbh.net 查询。
06 · 监督检查与报告备案(第 12 周)
测评报告完成后 30 个工作日内须报属地公安网安部门备案。后续配合网监日常监督检查、应急响应、年度复评等持续合规活动。等保是「合规底线」不是「过一次就完」。
预算参考(政府场景)
| 项目 | 二级(万元) | 三级(万元) |
|---|---|---|
| 定级备案咨询 | 0.5–1 | 1–2 |
| 差距评估 | 0.5–1 | 1–2 |
| 整改建设(设备 + 服务,按需) | 1–3 | 3–10 |
| 测评费 | 1–3 | 3–6 |
| 合计 | 3–8 | 8–20 |
注:上表为常见政府项目的实际区间,仅供参考。预算最大变量是整改投入——已有较完善信息化基础的单位整改成本可显著压低;上云后系统多数已具备基础安全设施,整改投入趋近于零。
政府场景 8 大避坑
1. 定级不能「就低不就高」
部分单位为降低成本故意定低级别。一旦核查发现定级不当,需重新做整改与测评,成本翻倍。建议严格按 GB/T 22240-2020 执行。
2. 选机构看公安部认可名录
三级测评必须选择「等保测评机构推荐目录」内的机构(公安部第三研究所发布)。具体名录可在 www.djbh.net 查询。
3. 整改与测评机构不能是同一家
等保规定「整改机构 ≠ 测评机构」,避免既当裁判又当运动员。整改建议找系统集成商,测评必须找独立第三方。
4. 公有云 vs 私有部署不同打法
采用阿里云、腾讯云政务云的系统,可走「云平台等保 + 应用系统等保」分层模式,省去基础设施层重复测评,预算和周期可降低 40–60%。
5. 涉密系统不走等保
涉密信息系统走「分级保护」(分级保护标准 BMB 系列),不走等保 2.0。两套体系不可混淆。
6. 报告备案是法定义务
测评完成后 30 个工作日内须报公安网安部门备案,仅测评不备案视同未做等保。
7. 持续运维不能放
等保是「合规底线」不是「过一次就完」。日常安全监测、补丁更新、应急演练、人员培训需常态化。
8. 重大变更需重新测评
系统架构调整、上云迁移、版本大升级后,原报告对新系统不再适用,需重新测评。
新亿诚在政府等保工作中能提供什么?
新亿诚专注软件测评(依据 GB/T 25000.51-2016)的第三方技术服务,在政府客户开展等保 2.0 工作时,可在以下环节提供配套支持:
- 软件层质量测评:依据 GB/T 25000.51-2016 对政务业务系统功能性、性能效率、可靠性、信息安全性等 9 大维度测评,形成软件层的合规支撑材料
- 定级与备案材料协助:协助准备定级报告、备案表一 / 二 / 三 / 四、专家评审意见、工作小组名单、域名调研表等系列材料
- 测评机构对接:协助对接具备公安部认可资质的合作测评机构完成等级测评
- 整改建议与跟进:基于差距分析结论协助与系统集成商对接整改方案
等保测评报告由具备公安部认可资质的合作机构盖章出具。详细内容见 等保 2.0 完整科普页面。
常见问题
区县级单位也要做等保吗?
是的。等保义务覆盖所有「网络运营者」,包括所有政务部门、事业单位、公办医院、学校。不论规模大小都有义务。
事业单位通常做几级?
视业务性质。涉及大量公众服务、个人信息的(医院、社保、公积金)通常三级;纯内部办公的(科研院所、文化馆)通常二级。
测评不通过怎么办?
测评报告会给出「整改建议」,整改完成后做「复测」(不重新走全流程,只针对未通过项复测)。一般 1–2 周内可完成复测。
整篇做下来真实预算到底是多少?
多数政府单位(特别是已上云或有基础信息化建设的)二级整体 3–8 万元、三级整体 8–20 万元即可完成全流程,包含咨询、差距评估、必要整改设备、测评出报告。如果是「零基础白手起家」需要从机房改造开始,预算会更高,建议先做免费差距评估再确定预算。
